Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

Kriittisen Zerologon -haavoittuvuuden aktiivinen hyväksikäyttö on alkanut

Tietoturva Nyt!

Microsoft korjasi erittäin kriittisen Zerologon -haavoittuvuuden (CVE-2020-1472) elokuun 2020 turvallisuuspäivityksien yhteydessä. Reilu kuukausi myöhemmin haavoittuvuuden hyväksikäyttömenetelmä tuli julkiseksi ja sen seurauksena useita hyökkäystyökaluja on julkaistu haavoittuvuuden hyväksikäyttöä varten. Haavoittuvuuden hyväksikäytöstä on nyt tullut ensimmäisiä havaintoja ja hyväksikäyttöyritykset tulevat hyvin todennäköisesti yleistymään.

Haavoittuvuuden hyväksikäyttö on helppoa ja sitä hyödynnetään jo aktiivisesti

Zerologon haavoittuvuuden hyväksikäyttö on melko yksinkertaista ja sitä hyödyntämällä Windows-ympäristön haltuunotto voidaan tehdä useammallakin eri menetelmällä. Toimialueen ohjauspalvelimen (Domain Controller) täydellinen haltuun ottaminen onnistuu hyvin nopeasti esimerkiksi kaappaamalla ohjauspalvelimen identiteetti ja sen avulla saamalla toimialueen ylläpitäjän oikeudet (Domain Admin).

On hyvin oletettavaa, että kyseiset hyökkäysmenetelmät ovat jo nyt aktiivisesti useiden eri rikollisten toimijoiden käytössä. Esimerkiksi kiristyshaittaohjelmahyökkäyksissä tämä haavoittuvuus mahdollistaa hyökkääjälle hyvin nopean ympäristön haltuunoton ja tietojen salaamisen. Hyökkääjä pyrkii usein saamaan uhrin Windows-toimialueen ohjauspalvelimet aluksi hallintaansa, jotta saa tehokkaasti levitettyä kiristyshaittaohjelman kaikkialle ympäristöön

Microsoftin mukaan haavoittuvuuden hyväksikäyttöä on jo näkynyt ja he julkaisivat myös muutamia tunnistetietoja havaituista hyökkääjien käyttämistä työkalauista Twitter-tilillään:
https://twitter.com/MsftSecIntel/status/1308941504707063808 (Ulkoinen linkki)

Päivitä palvelimet heti, jos et ole vielä päivittänyt

Haavoittuvuuden hyväksikäytöltä voi suojautua täysin vain varmistamalla, että kaikkien organisaation Windows-toimialueiden kaikki ohjauspalvelimet ovat päivitetty turvalliseen ohjelmistoversioon. Yhdenkin päivittämättömän palvelimen kautta on mahdollista toteuttaa hyökkäys joka vaarantaa koko ympäristön.

Yhdysvaltojen liittovaltion tietoturvaviranomainen CISA julkaisi perjantaina 18.9.2020 kiireellisen määräyksen koskien Zerologon haavoittuvuutta ja edellytti liittovaltion osastoja ja virastoja korjaamaan kaikki Zerologon hyökkäykselle alttiit Windows-palvelimet viipymättä maanantaihin 21.09.2020 mennessä.
https://www.cisa.gov/blog/2020/09/18/windows-server-vulnerability-requires-immediate-attention (Ulkoinen linkki)

Kyberturvallisuuskeskus suosittelee hyvin voimakkaasti päivityksen asentamista välittömästi, mikäli sitä ei vielä ole asennettu. Lisäksi olisi myös tärkeää selvittää, onko ympäristössä havaittavissa merkkejä mahdollisesta haavoittuvuuden hyväksikäytöstä.

Tällä hetkellä Kyberturvallisuuskeskuksella ei ole tiedossa haavoittuvuuden hyväksikäyttöä Suomessa.

 

29.9.2020 Päivitetty linkkien ulkoasua.